POODLEの脆弱性とは何ですか?
これらのインターネットの大災害が発生したときに私たちの心を包み込むことは困難であり、HeartbleedとShellshockが「知っているとおりに終焉を迎える」と脅した後にインターネットが再び安全になったと思ったように.
それはそれが聞こえるほど威圧的ではないのであまりにもワークアップしすぎないでください。真実はそれが心配するべき問題であるということですが、あなた自身を保護するためにあなたが取ることができる簡単なステップがあります.
POODLEとは?
1階から始めましょう。 POODLEとは何ですか?最初に、それはの略ダウングレードされたレガシ暗号化でのOracleのパディング.セキュリティの問題は、まさにその名前が示唆していることです。古い形式の暗号化を悪用することを可能にするプロトコルのダウングレードです。今月、Googleが「This POODLE Bites:SSL 3.0フォールバックの悪用」という論文を発表したとき、この問題は世界の注目を集めました。.
これを簡単に説明すると、Man-In-The-Middle攻撃を使用している攻撃者が公共のホットスポットでルータを制御できる場合、ブラウザを使用せずにブラウザをSSL 3.0(古いプロトコル)にダウングレードさせることができます。より現代的なTLS(Transport Layer Security)を使用してから、SSLのセキュリティホールを悪用してブラウザセッションをハイジャックします。この問題はプロトコルにあるため、SSLを使用するものはすべて影響を受けます。.
サーバーとクライアント(Webブラウザ)の両方がSSL 3.0をサポートしている限り、攻撃者はプロトコルを格下げすることができるため、ブラウザがTLSを使用しようとしても、代わりにSSLを使用するように強制されます。唯一の答えは、SSLのサポートを削除し、ダウングレードされる可能性を排除することです。.
主に自宅からブラウズして公共のホットスポットを使用しない場合は、被害を受ける可能性はかなり低いので、記事の後半で簡単に説明する簡単な手順で自分を保護することができます。あなたが頻繁に公共のホットスポットを使用するのであれば、それはVPNの使用について考える時が来るかもしれません.
どうすれば問題を解決できるか?
SSLの問題を解決する方法はないので、唯一の解決策はブラウザメーカーとWebサーバーがSSLのサポートを削除してTLS暗号化だけを要求するためにすべてをアップグレードすることです.
グーグルとFirefoxは、将来的にはサポートを中止すると発表しています。Microsoftから(まだ)同じことは聞いていませんが、IEでSSL 3.0を無効にするのは非常に簡単です。大手Web企業のほとんどは、この問題が明らかになった後でSSLのサポートを削除していますが、全員がそうするにはしばらく時間がかかります。.
消費者は、次に概説する方法のいずれかを使用してブラウザからSSLのサポートを削除できます。あるいは、FirefoxまたはGoogle Chromeを使用していてホットスポットを常時使用していない場合は、ブラウザの更新を待ちます。または自分で問題を解決したことを確認することもできます。.
Mozilla FirefoxでSSL 3.0を無効にする
あなたがMozilla Firefoxユーザーであれば、Fireox 34がリリースされた2014年11月25日にSSL 3.0の問題が解決するでしょう。これに関する1つの問題はそれがまだ11月ではないし、あなたは今あなた自身を保護するために行動を起こす必要があるということです。 Firefoxブラウザを開いてFirefoxのSSL Version Controlダウンロードページに移動することから始めます。.
正常にインストールされたら、ナビゲーションバーに「about:addons」と入力して、[SSL Version Control]拡張子を選択します。あなたは拡張子の設定を見るために「オプション」をクリックすることができます。 「自動更新」がオンになっていること、および「最小SSLバージョン」が「TLS 1.0」に設定されていることを確認してください。
Firefox 34がリリースされた後は、拡張機能を無効にするかアンインストールしてください。.
Google ChromeでSSL 3.0を無効にする
あなたがGoogle Chromeユーザーであるならば、あなたはまだ彼らがまだ日付を設定していないけれども、SSL 3.0が今後数カ月以内に無効にされることを安心することができます。あなたが今自分自身を守りたいのなら、それはいくつかの簡単なステップで行うことができます。 Google Chromeのデスクトップアイコンをクリックして右クリックし、ポップアップメニューの下部にある[プロパティ]を選択します。.
「プロパティ」ウィンドウに、「ターゲット」というテキスト入力ボックスが表示されます。このボックスをクリックして、キーボードの「終了」ボタンを押すだけです。次に、スペースバーを押して、このテキストをコピーして最後に貼り付けます。.
--ssl-version-min = tls1
「適用」を押し、ポップアップウィンドウで「続ける」をクリックしてから「OK」を押します。
ブラウザは自動的にSSL 3.0証明書を拒否し、TLS 1.0以降のみを受け入れます。コンピュータの他のショートカットからChromeを起動しても、このフラグは使用されません。.
Internet ExplorerでSSL 3.0を無効にする
マイクロソフトは、SSL 3.0の問題にいつ対応するのかをまだ発表していないので、「スタート」メニューを開いて「インターネットオプション」を入力して無効にすることをお勧めします。
[詳細]タブに移動し、[SSL]および[TLS]オプションが表示されるまで[セキュリティ]セクションまでスクロールし、[SSL 3.0を使用する]オプションをオフにして代わりにTLSを有効にします。.
これにより、インターネットブラウザがすべての潜在的なPOODLE攻撃から安全であることを確認できます。.
画像のクレジット:Flickrのカレン